µî·ÏÀÏ | 2010-02-23 12:09:02 | Á¶È¸¼ö | 1695 |
Á¦¸ñ | [±ä±Þº¸¾È°øÁö] Á¦·Îº¸µå4 Ãë¾àÁ¡ °øÁö ¹× ÆÐÄ¡¹æ¹ý ¾È³» | ||
¾È³çÇϼ¼¿ä. ¿ì¶ß³ÝÀÔ´Ï´Ù. ´ÙÀ½ ³»¿ëÀ» ÂüÁ¶Çϼż ÆÐÄ¡Çϼż »ç¿ëÇϽðí, ÆÐÄ¡°¡ Èûµå½Ç °æ¿ì ¹®ÀÇ°Ô½ÃÆÇ¿¡ ±â¼úÁö¿øÀ» ¿äûÇÏ½Ã¸é µË´Ï´Ù. °¨»çÇÕ´Ï´Ù. ¡à °³¿ä o ÃÖ±Ù ±¹³» PHP ±â¹ÝÀÇ °ø°³ À¥ °Ô½ÃÆÇ Á¦·Îº¸µå4¿¡ ´ëÇÑ CSRF °ü·Ã º¸¾È Ãë¾àÁ¡ÀÌ ¹ß°ßµÊ[3] ¡Ø Á¦·Îº¸µå(ZeroBoard): PHP ¾ð¾î·Î ÀÛ¼ºµÈ ȨÆäÀÌÁö¿ë °Ô½ÃÆÇ ¼ÒÇÁÆ®¿þ¾î ¶Ç´Â ÇÁ·¹ÀÓ¿öÅ© ¡Ø CSRF(Cross-Site Request Forgery) Ãë¾àÁ¡ : Á¤»óÀûÀÎ ¼ºñ½º »ç¿ëÀÚÀÇ ±ÇÇÑÀ» ¸ô·¡ ÀÌ¿ëÇÏ¿© ½ºÅ©¸³Æ®¸¦ ½ÇÇàÇÒ ¼ö ÀÖ´Â Ãë¾àÁ¡À¸·Î °ü¸®ÀÚ ±ÇÇÑÀ¸·Î ¾ÇÀÇÀûÀÎ ¸ñÀûÀÇ ½ºÅ©¸³Æ®°¡ ½ÇÇàµÉ ¼ö ÀÖ´Â Ãë¾àÁ¡ o ÇØ´ç Ãë¾àÁ¡À» ÀÌ¿ëÇÑ È¨ÆäÀÌÁö º¯Á¶ ¹× ¿ø°Ý ½ÇÇà À§ÇùÀÌ ¹ß»ýÇÔ¿¡ µû¶ó, »ç¿ëÀÚÀÇ ÁÖÀÇ ¹× Á¶¼ÓÇÑ ÆÐÄ¡°¡ ÇÊ¿äÇÔ ¡à ¿µÇâ o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ Á¦·Îº¸µå4 °ü¸®ÀÚ ±ÇÇÑÀ» ȹµæÇÒ ¼ö ÀÖÀ½ o ȹµæÇÑ °ü¸®ÀÚ ±ÇÇÑÀ» ÀÌ¿ëÇÏ¿© ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏ Àбâ, PHP ¸í·É½ÇÇà µîÀÌ °¡´ÉÇϸç, À̸¦ ÀÌ¿ëÇÑ À¥ º¯Á¶, ¿ø°Ý ½ÇÇà µîÀÌ ¹ß»ýÇÒ ¼ö ÀÖÀ½ ¡Ø PHP : µ¿ÀûÀÎ À¥»çÀÌÆ®¸¦ À§ÇÑ ¼¹ö Ãø ½ºÅ©¸³Æ® ¾ð¾î ¡à ¿µÇâ ¹Þ´Â ½Ã½ºÅÛ o Á¦·Îº¸µå4 ¸ðµç ¹öÀü ¡à ¼³¸í o ¿ø°ÝÀÇ »ç¿ëÀÚ°¡ ½Ã½ºÅÛ ³»ÀÇ ÀÓÀÇÀÇ ÆÄÀÏÀ» Àаųª, ÀÓÀÇÀÇ php Äڵ带 ½ÇÇàÇÏ´Â °ÍÀÌ °¡´ÉÇÏ¿© À̸¦ ÅëÇÑ À¥ º¯Á¶ µîÀÇ ÇØÅ·ÀÌ ¹ß»ý ¡à ÇØ°á¹æ¾È o Á¦·Îº¸µå4¸¦ óÀ½ »ç¿ëÇÏ´Â °æ¿ì - °ø½Ä»çÀÌÆ®(www.zeroboard.com)¿¡´Â Ãë¾àÁ¡ÀÌ º¸¿ÏµÈ admin_exec_member.php ¼³Ä¡ ÆÄÀÏ[1]À» ´Ù¿î·Îµå ¹Þ¾Æ ¼³Ä¡ o Á¦·Îº¸µå4¸¦ »ç¿ëÁßÀÎ °æ¿ì - [Á¦·Îº¸µå¼³Ä¡°æ·Î]/admin/admin_exec_member.php - admin_exec_member.php ÆÄÀÏÀÇ 106¹ø° ÁÙ¿¡ ´ÙÀ½ ¾Æ·¡¿Í °°ÀÌ Ãß°¡ if($_SERVER['REQUEST_METHOD']!='POST') die("ºñÁ¤»óÀûÀÎ Á¢±ÙÀ̶ó Â÷´ÜµË´Ï´Ù"); ¡à ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ× o 09³â 9¿ù 25ÀϺÎÅÍ Á¦·Îº¸µå4´Â ±¸Á¶ÀûÀÎ ÇÑ°è·Î ÀÎÇÑ º¸¾È Ãë¾àÁ¡ ¹®Á¦·Î °ø½ÄÀûÀÎ ¹èÆ÷¸¦ ÁßÁöÇÔ o Á¦·Îº¸µå4ÀÇ °ø½ÄÀûÀÎ ¹èÆ÷´Â ÁßÁöµÇ¾úÀ¸³ª ½Å±ÔÃë¾àÁ¡ÀÇ ÇÇÇظ¦ ¸·°í Á¤º¸¸¦ °øÀ¯Çϱâ À§ÇØ °ø½Ä Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÉ ¿¹Á¤ o µû¶ó¼ ÀÌ¿ëÀÚµéÀº Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ[2] »çÀÌÆ®ÀÇ º¸¾È Á¤º¸ °øÀ¯ °Ô½ÃÆÇ[1]À» ÁÖ±âÀûÀ¸·Î È®ÀÎÇÏ¿© ½Å±Ô Ãë¾àÁ¡¿¡ ´ëÇÑ Á¤º¸¸¦ ¼÷ÁöÇÏ°í ÀÌ¿¡ µû¸¥ Á¶Ä¡¸¦ ÃëÇؾßÇÔ o ȤÀº, Áö¼ÓÀûÀÎ º¸¾ÈÆÐÄ¡ Á¦°ø ¼ºñ½º°¡ °¡´ÉÇÑ È¨ÆäÀÌÁö °Ô½ÃÆÇÀ¸·Î ¾÷±×·¹À̵带 ±Ç°í ¡à ±âŸ ¹®ÀÇ»çÇ× o Á¦·Îº¸µå4´Â ´õ ÀÌ»ó »ç¿ëÇÒ ¼ö ¾ø´Â °Ç°¡¿ä? - ¾Æ´Õ´Ï´Ù. »ç¿ëÇÏ½Ç ¼ö ÀÖ½À´Ï´Ù. ±×·¯³ª Á¦Àۻ翡¼ ´õ ÀÌ»ó °ø½ÄÀûÀÎ º¸¾È ÆÐÄ¡¸¦ Á¦°øÇÏÁö ¾Ê±â ¶§¹®¿¡ ½Å±Ô Ãë¾àÁ¡À¸·Î ÀÎÇÑ ÇÇÇظ¦ ÀÔÀ¸½Ç ¼ö ÀÖÀ¸¹Ç·Î ÀÌ¿ëÀÚ ÁÖÀÇ»çÇ×À» ¼÷ÁöÇÏ½Ã±æ ¹Ù¶ø´Ï´Ù. o Á¦·Îº¸µå4ÀÇ °ø½Ä Ä¿¹Â´ÏƼ´Â °è¼Ó ¿î¿µµÇ³ª¿ä? - ³× ¿î¿µµË´Ï´Ù. Á¦·Îº¸µå4 °ø½Ä Ä¿¹Â´ÏƼ »çÀÌÆ®[2]´Â Á¦·Îº¸µå4ÀÇ Ãë¾àÁ¡ Á¤º¸ ¹× ±âŸ Á¤º¸ °øÀ¯¸¦ ¸ñÀûÀ¸·Î °è¼Ó ¿î¿µÀÌ µË´Ï´Ù. o Çѱ¹ÀÎÅͳÝÁøÈï¿ø ÀÎÅͳÝħÇØ´ëÀÀ¼¾ÅÍ: ±¹¹ø¾øÀÌ 118 [Âü°í»çÀÌÆ®] [1] http://www.xpressengine.com/zb4_security [2] http://www.xpressengine.com/zb4_main [3] http://www.xpressengine.com/18695228 |